Spam und UCE - Filter: Reverse DNS

Inhaltsverzeichnis
  1. So funktioniert es
  2. Probleme

So funktioniert es

Um eine Mail an einen Empfänger zuzustellen, muss die Empfängerdomäne über DNS auflösbar sein. DNS-Auflösung beinhaltet dabei zwei Funktionen:

  • Domäne zu Hostname (MX)
    Wenn Sie eine Mail an senden, dann muss ihr Mailserver die zuständige Gegenstelle für die Domäne "carius.de" finden. Dazu bedient er sich dem MX Eintrag (Siehe auch SMTP oder Mail im Internet - Wie geht das ?)
  • Hostname zu IP-Adresse
    Als zweiten Schritt muss er den so gefundenen Rechnernamen auf eine IP-Adresse umsetzen. Computer arbeiten mit Zahlen wir ein Telefon und nicht mit Namen wie ein Telefonbuch.

Über diesen Weg ist es einfach möglich, Mails im Internet zu versenden. Dabei wird aber oft vergessen, dass es auch eine Gegenrichtung gibt. Unter dem "Reverse-DNS" versteht man die Möglichkeit, für eine gegebene IP-Adresse einen Namen zu finden.

Probleme

Früher war es schon fast eine Pflicht, für jeden Server, der im Internet erreichbar ist nicht nur den Forward-DNS zu pflegen, sondern auch einen Reverse-DNS. Leider ist dies nie wirklich eine Pflicht gewesen und speziell in den Boomzeiten wurden viele Rechner an das Internet angeschlossen, ohne dass es einen passenden Reverse-DNS Eintrag gegeben hat. Dieser Reserve-DNS Eintrag ist für die Funktion auch nicht zwingend erforderlich. So stellt sich folgendes Bild dar:

  • Vergangenheit
    Für sehr viele Systeme mit festen IP-Adressen waren die reverse Einträge gepflegt. Nur die Menge an Wählzugängen mit dynamischen Adressen hatten keine Pflege. Die meisten Spammer haben solche Wählzugänge genutzt. Daher gab es Filter, die eben sich diesen umstand zu nutze machten und von Systemen, die nicht per Reverse-DNS auflösbar waren, keine Mails angenommen haben. Dies wurde später z.B. über DialUpListen (siehe DUL) weiter geführt
  • Heute
    Mittlerweile sind tausend Systeme mehr am Internet und die Verteilung hat sich geändert. Fast jede dynamische IP-Adresse ist per DNS auflösbar. Im Moment, als ich diese Zeilen schreibe, hatte mein Router die IP-Adresse 80.130.211.232, die von der Telekom auf den Namen "p5082D3E8.dip0.t-ipconnect.de" aufgelöst wird.
    Wenn heute ein Filter demnach noch auf die umgekehrte Namensauflösung vertraut, dann lässt es fast alle dynamischen Adressen zu während leider sehr viele Firmen und Provider immer noch nicht alle Systeme der Vergangenheit aktualisiert haben.

Das ganze als Grafik könnte so aussehen:

Insofern ist dieser Filter heute sogar schädlich geworden, da es immer noch sehr viele Firmen gibt, die keine Spam Mails versenden aber keine Reverse-Einträge pflegen (können). Aber die professionellen Spammer natürlich entweder die Einträge gepflegt haben bzw. Zugänge mit dynamischen IP-Adressen verwenden, die per Reverse-DNS auflösbar sind.

Allerdings könnte solche eine Regel als Positivregel eingesetzt werden. Wenn Sie eine Mail von "firma.de" erhalten und die Reverse-DNS Auflösung z.B. "mailout.firma.de" ergibt, dann können Sie sehr sicher sein, dass diese Mail nicht gefälscht ist. Das kommt zwar noch nicht an den Ansatz von SPF/CallerID heran, aber kann als zusätzliches Qualifizierungsmerkmal genutzt werden. Das nutzen aber aktuell nur sehr wenige Produkte

Daher ist dieses Filter heute nicht mehr sehr nützlich, sondern eher schädlich. Allerdings kann er gut als Positivkriterium eingesetzt werden, um den Absender zu qualifizieren.